新的银行木马 PixPirate 瞄准巴西金融机构

  Tag：银行木马，巴西金融机构

在2022年底至2023年初期，Cleafy 研究人员监测发现了一种新的 Android 银行木马 PixPirate，使攻击者能够在巴西多家银行采用的即时支付平台 Pix 上自动插入ATS恶意转账。该银行木马利用 PIX 支付平台针对巴西的金融机构实施欺诈，绕过 Apple 应用商店和 Google 商店中的防御措施方法，以实施所谓的杀猪骗局，利用社会工程学方法，例如通过 Tinder 等约会应用程序接近受害者，引诱他们下载欺诈性投资应用程序，旨在窃取目标金钱。

技术手法：

PixPirate 恶意软件使用钓鱼站点作为分发媒介，利用与各种 Android 银行恶意软件兼容的 Web 注入模块收集凭据和敏感数据，旨在挑出横跨亚洲、欧洲、中东和美洲的银行、移动支付服务、加密货币交易所和移动电子商务应用程序。然后 PixPirate 恶意软件滥用操作系统的可访问性服务 API 来执行其恶意功能，包括禁用 Google Play Protect、拦截短信、阻止卸载以及通过推送通知发送恶意广告，利用 Auto.js 框架对代码进行混淆处理和加密，最终窃取用户在银行应用程序上输入的密码。

来源：

https://www.cleafy.com/cleafy-labs/pixpirate-a-new-brazilian-banking-trojan

伊朗威胁组织APT34使用新后门MrPerfectInstaller瞄准中东地区政府机构，展开攻击

  Tag：伊朗，APT34，政府

事件概述：

近日，Trend Micro  安全研究人员披露了具有伊朗背景的威胁组织 APT34 针对中东地区国家政府机构的攻击活动。该活动最早可追溯于2022年12月，一个可疑的可执行文件MrPerfectInstaller（被杀毒引擎检测为Trojan.MSIL.REDCAP.AD）在多台计算机上分发并执行，旨在窃取受害目标的用户凭据。

技术手法：

该活动始于一个基于.NET的植入程序，其任务是分发四个不同的文件，其中包括负责窃取和泄露特定文件的主要植入物（“DevicesSrv.exe”），添加注册表项释放过滤器，强制执行密码策略和更改通知。作为从域用户（域控制器）或本地账户（本地计算机）拦截或检索凭据的方法，窃取域用户和本地账户的凭据。此外，本次攻击使用的后门工具可利用受害目标的邮箱账号将窃取的数据发送到攻击者控制的邮箱。

来源：

https://www.trendmicro.com/en_us/research/23/b/new-apt34-malware-targets-the-middle-east.html 

No Pineapple 活动：Lazarus 组织利用未修补的 Zimbra 设备瞄准能源、医疗制造商

  Tag：能源，Lazarus，APT，漏洞

近日，外媒披露朝鲜威胁组织 Lazarus 利用未修补的 Zimbra 设备中已知的安全漏洞来破坏能源、医疗制造商系统设备，旨在收集情报。该活动又称为“No Pineapple”，其目标包括印度的一家医疗保健研究机构、一所领先研究型大学的化学工程系，以及一家能源、研究、国防和医疗保健领域的技术制造商。据相关人士透露，威胁组织已经窃取了大约100GB的数据。

技术手法：

威胁组织通过利用漏洞 CVE-2022-27925 和 CVE-2022-37042 进行初始接入，这两个漏洞可以被滥用在底层服务器上获得远程代码执行，然后通过安装 Web shell 和利用 Zimbra 服务器中的本地权限升级漏洞（即Pwnkit又名 CVE-2021-4034）成功执行了此步骤，获取敏感邮箱数据。随后，在2022年10月，攻击者进行了横向移动、侦察，并最终部署了 Dtrack 和更新版本的 GREASE 等后门程序。

思科通报并修复工业设备高危漏洞 CVE-2023-20076

  Tag：思科，工业设备，高危漏洞

近日，思科发布了针对其部分工业路由器、网关和企业无线接入点中存在的高危漏洞 CVE-2023-20076 的补丁。该漏洞是由于对为激活应用程序传递的参数进行的不完全清理造成的。该漏洞允许攻击者插入恶意代码，而这些恶意代码不能通过简单地重新启动设备或更新其固件来删除，且允许管理员直接在思科设备上部署应用程序容器或虚拟机。攻击者可以通过在 Cisco IOx 应用程序托管环境中使用特制的激活有效负载文件部署和激活应用程序来利用此漏洞。成功的利用可能允许攻击者以 root 身份在底层主机操作系统上执行任意命令。

此外，思科建议用户进行安全更新，以确保设备不会持续受到该漏洞的影响。

来源：

https://www.helpnetsecurity.com/2023/02/01/cve-2023-20076/

Graphiron：针对乌克兰部署的新型俄罗斯信息窃取恶意软件

  Tag：Graphiron

近日，赛门铁克发文指出与俄罗斯有关联的威胁组织 Nodaria 通过部署一种新型的信息窃取恶意软件 Graphiron，旨在从受感染的计算机中收集各种信息，包括系统信息、凭据、屏幕截图和文件。Graphiron 恶意软件最早可追溯到 2022 年 10 月，并且至少持续使用到 2023 年 1 月中旬，被认为是 Nodaria 工具包的一部分。

来源：

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/nodaria-ukraine-infostealer

Gamaredon 组织利用间谍软件针对乌克兰当局展开攻击

  Tag：Gamaredon，APT，俄罗斯，乌克兰，间谍软件

近日，乌克兰国家网络保护中心（SCPC）指出俄罗斯国家支持的威胁组织Gamaredon 针对乌克兰的公共机构和关键信息基础设施进行了有针对性的网络攻击。SCPC表示，Gamaredon 组织正在进行的活动的特点是使用多步下载方法，并执行用于控制受感染主机的间谍软件的有效载荷。攻击链开始于带有RAR压缩文件的鱼叉式网络钓鱼电子邮件，冒充乌克兰外交部、乌克兰安全局和波兰警方 (Policja)，试图诱骗访问者下载声称可以检测受感染计算机的软件。

技术手法：

来源：

https://scpc.gov.ua/article/229

Apache Kafka Connect 出现高危漏洞，请立即修复！

  Tag：高危漏洞

近日，微步在线获取到 Apache Kafka Connect 3.4.0 版本之前的 2.3.0 - 3.3.2 版本，可通过创建或修改客户端配置，进行 JNDI 注入攻击 0day 相关漏洞情报，攻击者可以使用基于 SASL JAAS 配置和 SASL 协议的任意 Kafka 客户端，在对 Kafka Connect worker 创建或修改连接器时，通过构造特殊的配置，进行 JNDI 注入。Apache Kafka 是美国阿帕奇（Apache）基金会的一套开源的分布式流媒体平台。该平台能够获取实时数据，用于构建对数据流的变化进行实时反应的应用程序。

目前 Apache 官方已发布此漏洞修复版本，建议用户尽快升级至 Apache Kafka3.4 及以上版本。此外，还建议用户使用微步在线威胁感知平台 TDP 进行流量侧排查，使用 OneEDR 和 OneRisk 对受影响资产进行排查，以及使用OneCare 安全服务进行风险排查和处置。

来源：

https://mp.weixin.qq.com/s/tVyfwSeQwUGlRTH6riJDeA